“Seguridad en Aplicaciones Web”

Slides:



Advertisements
Presentaciones similares
“Seguridad en Aplicaciones Web”
Advertisements

WEB VULNERABLE DVWA Universidad de Almería
Instituto Tecnológico Superior de Nochistlán División Académica Ingeniería en Sistemas Computacionales “Manejo de Seguridad en PHP: Aplicaciones Seguras”
Integrantes: Giomara Delgado Miranda Miguel Villao Figueroa Juan Quiroz Asencio.
Global Consulteam es un compañía Colombiana dedicada a brindar servicios de consultoría, auditoría y transferencia de conocimiento, operados por un equipo.
Introducción a los Ambientes Virtuales de Aprendizaje. Diplomado Alejandro Daniel Martínez Padilla. Web 2.0.
Alfa21 Outsourcing S.L. Un ejemplo de modelo de negocio basado en Software Libre 13 de julio de 2006
The OWASP Foundation OWASP LATAM TOUR 2012 OWASP Mantra Security Framework Walter Cuestas Agramonte Open-Sec
Seguridad en Entornos Virtuales de Aprendizaje: Análisis sobre seguridad en actividades colaborativas desarrolladas el Máster de e-learning de la UOC Seguridad.
RedIRIS Jornadas Técnicas 2009 Santiago de Compostela Inmaculada Bravo García Reyes Hernández Rodriguez Mº Teresa Calvo Moya Universidad de Salamanca,
El Ingeniero de Sistemas puede trabajar como empleado o de forma independiente desempeñando múltiples roles, que van desde lo administrativo, directivo.
Desarrollo de un Laboratorio remoto-virtual para la enseñanza de cursos de Ingeniería Ing. Angelo Velarde Profesor Auxiliar Ingeniería de las Telecomunicaciones.
David Chacón Muñoz. Servidor de Streaming Es la retrasmisión multimedia (audio y video) a través de la red. Actualmente hay dos grandes plataformas de.
COMUNICACIÓN Y TIC Ángela Espinosa Hayler Peñaranda.
UNIVERSIDAD FERMIN TORO CABUDARE ENSAYO TIPOS DE SOFTWARE E IMPORTANCIA JUNIO 2014.
Conocida también como informática en la nube, del inglés Cloud Computing, es un modelo o paradigma para la utilización de los recursos informáticos,
Certificado Profesional de Hacking Ético (CPHE)
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
Seguridad en .ES. Evolución de la seguridad del registro
ESPECIALIZACION EN ADMINISTRACION DE LA INFORMATICA EDUCATIVA
PREVENCION Y GESTION DE SEGURIDAD EN LAS ORGANIZACIONES
PLAN DE CONTINUIDAD DE ACTIVIDADES ANTE EMERGENCIAS INSTITUCIONES Y EMPRESAS ECUADOR , junio
Escasa información antropométrica en Cuba
Análisis y catalogación de las fuentes que definen las competencias demandadas en el campo de la Interacción Persona-Ordenador Raquel Lacuesta Jesús Gallardo.
Arquitectura de una Base de Datos
Manejo Básico de PREZI Junio, 2017.
TALLER DE LABORATORIOS REMOTOS
COMPUTACIÓN E INFORMÁTICA
Diseño Centrado en el Usuario
TRABAJO RECUPERATORIO P1
UNIDAD 4. DISEÑO DE ESTRATEGIAS DIDÁCTICAS EN AMBIENTES A DISTANCIA.
EDWIN SANTIAGO YACELGA MALDONADO SANGOLQUÍ – ECUADOR 2016
Oscar Martin Tirado Ochoa
UNIVERSIDAD DE LAS FUERZAS ARMADAS-ESPE
Qué tanto sabe de seguridad informática
Equipo: Nestor Bazaldúa Leslie Mendez Karla Guerrero
UNIVERSIDAD PEDAGÓGICA NACIONAL FRANCISCO MORAZÁN
ANÁLISIS DE RIESGOS DE SISTEMAS DE INFORMACIÓN
Lenguaje y representación técnica
Seguridad de aplicaciones web
Tendencias contemporáneas en educación
Metodología de la programación
Ingeniería del Software
Colegio Inglés Michael Faraday A. C.
HERRAMIENTAS Elementos necesarios para una buena formación virtual
PROPAGACION DE RANSOMWARE (Wanna Cry) NOMBRE: Celso Vasquez DOCENTE: MSc. Boris Walter López.
Universidad Nacional Autónoma de Honduras Carrera de Ingeniería en Sistemas IPAC IS-501 Base de Datos I Tema 0: Información Detallada del Espacio.
Implementación de una arquitectura PKI para el Ejército Ecuatoriano, utilizando software libre Proyecto de investigación previo la obtención del título.
A RQUITECTURA C LIENTE - SERVIDOR La arquitectura del cliente servidor se divide en dos partes Los promovedores de recursos o servicios llamados servidores.
ESTÁNDARES TIC, FORMACIÓN INICIAL DOCENTE (FID)
Comprensión y obtención de los requerimientos
¿QUÉ SON LAS HERRAMIENTAS WEB? Es una asociación de aplicaciones web que facilitan la comunicación, el diseño, el usuario y la colaboración con el WWW.
TWIDUCATE. Sitio web twiducate/ Tipo de licencia Libre Plataforma LMS País de origen Está desarrollada.
UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA ESCUELA DE POSGRADO FACULTAD DE CIENCIAS BIOLÓGICAS MAESTRÍA EN CIENCIAS – MENCIÓN MICROBIOLOGÍA CURSO:
UNIVERSIDAD DE LAS FUERZAS ARMADAS-ESPE
“Seguridad en Aplicaciones Web” -Defensa en Profundidad-
Presentación del Curso Curso de Seguridad Informática Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Material Docente de Libre Distribución.
Técnico en Programación ¡¡ El mundo cambia, nosotros también !!
¡Bienvenido! “Ponemos la mejor Tecnología al alcance de TI”
Lenguajes del lado del cliente
PLATAFORMA EDUCATIVA INSTITUCIONAL – BIBLIOTECA VIRTUAL Curso: Estrategias digitales en el manejo de la información Semana 2 Profesora: Tania Briones Linares.
Ataques XSS y CSRF CI-2413 Desarrollo de Aplicaciones para Internet.
1 Diseño Centrado en el Usuario Máster Oficial en Ingeniería y Tecnología del Software Profesorado: Dra. María José Escalona Cuaresma
Presentación del Curso Curso de Seguridad Informática Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Material Docente de Libre Distribución.
Seguridad en los Dispositivos
¿Como crear tu propia app?
Plan de Sistemas de Información (PSI). Plan de Sistemas de Información (PSI) Descripción y Objetivos Tiene como objetivo la obtención de un marco de referencia.
ESTRUCTURA DE LOS SISTEMAS OPERATIVOS
Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.
APRENDIZAJE CLAVE DEL CAMPO PROFESIONAL INFORMÁTICA EJESCOMPONENTESCONTENIDOS CENTRALES  Dar respuesta acorde a los cambios tecnológicos  Aportar mano.
Transcripción de la presentación:

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Consultor: JUAN DAVID BERRIO LOPEZ - judabe2003@gmail.com Ingeniero en Informática. Máster en Seguridad Informática, Universidad Oberta de Catalunya OSCP-CEH-CCNSP Cyberoam

“Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones- www.dsteamseguridad.com “Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones-

“Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones- www.dsteamseguridad.com “Seguridad en Aplicaciones Web” -Amenazas a las Aplicaciones- Son muchos los vectores de ataque actuales a las aplicaciones web, pero algunas técnicas son las mas usadas y conocidas entres los delincuentes informáticos, entre ellas se encuentran: SQL Injection Cross Site Scripting Directory Traversal Attacks CRLF Injection attacks Google hacking File inclusion ( Ver documentos realizados para cada uno de los ataques)

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Introducción: PHP es un lenguaje altamente difundido y utilizado en nuestro días, además de que libre, por lo que muchas aplicaciones con diversas orientaciones, se están construyendo en este potente Lenguaje de Programación. Dada la popularidad de este Lenguaje de programación y el alcance que tiene a nivel de desarrolladores y aplicaciones, es imprescindible tener unos criterios de seguridad, para el desarrollo de aplicaciones sobre PHP, además de comprender todos los vectores de ataque. https://www.owasp.org/index.php/PHP_Top_5

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Principales criterios a tener en cuenta para el desarrollo seguro de PHP: Herramientas tecnológicas y recursos existentes para mejorar la programación segura (Mostrar Presentación Appliance de Seguridad) Libros de desarrollo seguro en PHP OWASP PHP Top 5 Análisis de vulnerabilidades. Planeación de la seguridad a nivel del entorno tecnológico y a nivel del desarrollo del Código.

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Herramientas tecnológicas y recursos existentes para mejorar la programación segura (Mostrar Presentación Appliance de Seguridad). https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project http://www.mavensecurity.com/web_security_dojo/ http://samurai.inguardians.com/ https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project http://dvwa.co.uk/ https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Puntos importantes de Partida: https://www.owasp.org/index.php/PHP_Top_5 http://phpsec.org/projects/guide/ http://ha.ckers.org/xss.html http://www.hardened-php.net/suhosin/

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Consideraciones Iníciales: Considere el uso legitimo de su aplicación. Diseño Seguro: Un diseño seguro es sólo una parte de la solución. Durante el desarrollo, cuando el código se escribe, es importante considerar el uso ilegítimo de su aplicación. Por lo regular, la atención se centra en hacer que la aplicación funcione como se pretende, y si bien esto es necesario para entregar una aplicación funcione correctamente, esto no hace algo necesariamente para la seguridad de la aplicación. Procesos de educación y capacitación con la ayuda de las herramientas tecnológicas disponibles y documentación del tipo que se publica en el proyecto OWASP Aplicar las Directivas sobre PHP, que se encuentran en la “Guía para Construir Aplicaciones y Servicios Web Seguros” de la OWASP

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Al respecto de las directivas para PHP, se tiene lo siguiente: Variables Globales Register_Globals Inclusión y Ficheros Remotos Subida de Ficheros Sesiones Cross Site Scripting Inyecciones SQL Inyección de Código Inyecciones de Comando Opciones de Configuración https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.pdf

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Otros temas a tener presente son: Validar y desinfectar datos de entrada Protección contra los riesgos que se produce las entradas no validadas de forma adecuada. Mantener los archivos temporales de seguridad Prevenir secuestro de sesiones Seguridad en bases de datos Seguridad en el sistema de archivos

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Con el fin de proyectar procesos prácticos en el desarrollo seguro de aplicaciones PHP, se propone tener presente las siguientes herramientas y documentación: Damn Vulnerable Web App (DVWA) es una aplicación escrita en PHP/MYSQL, la cual es vulnerable a ataques informáticos. Su objetivo es totalmente con fines educativos, para que los ingenieros de infraestructura y desarrolladores practiquen y estudien n el tema relacionado con seguridad en aplicaciones web. http://www.randomstorm.com/dvwa-security-tool.php

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Tener presente de descargar la maquina virtual para VMWARE: http://sourceforge.net/projects/websecuritydojo/files/Version_1.2/dojo_v1.2-vmware.zip/download http://www.mavensecurity.com/web_security_dojo/ Damn Vulnerable Web App (DVWA), esta contenida dentro de esta Distro de Linux, de forma pre-configurada, además esta Distro tienen otras herramientas de análisis de vulnerabilidades y de estudio, tales como: OWASP’s WebGoat Hacme Casino

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: http://samurai.inguardians.com/ Esta excelente Distro de Linux, es similar a DOJO, solo que tienen un mayor énfasis en llevar de forma metodológica un procesos de Test de penetración o Hacking Ético a un servidor web.

“Seguridad en Aplicaciones Web” www.dsteamseguridad.com “Seguridad en Aplicaciones Web” PHP Aplicación de Recursos Tecnológicos: Por ultimo se tienen dos versiones de Linux que son especialistas en ataques y auditorias intrusivas a las aplicaciones Web. OWASP LiVe CD es especial para el tema de seguridad en aplicaciones Web. Mientras que BackTrack, es especial en el tema de arquitectura de redes, pero también tiene muchísimas herramientas para evaluar la seguridad de un sitio web. https://www.owasp.org/index.php/Category:OWASP_Live_CD_Project http://www.backtrack-linux.org/downloads/

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.